使用するリージョンに AWS Management Console を接続します。
VPC ダッシュボードの PrivateLink and Lattice から Endpoints を選択します。
Create Endpoint をクリックします:
VPC インターフェイスエンドポイントの設定を行います
- 任意で Name tag を入力します。
- Type で PrivateLink Ready partner services を選択します。
クロスリージョン対応のインターフェイスエンドポイントを検出し、設定します:
- Service name に以下の表にある有効な PrivateLink サービス名を入力します。
- Service region で Enable Cross Region endpoint にチェックを入れ、 を選択します。
- Verify service をクリックし、Service name verified の通知が表示されるまで待ちます。
注: 上記の手順を完了してもサービスを検証できない場合は、Datadog サポートにお問い合わせください。
Network Settings で、VPC インターフェイスエンドポイントをデプロイする VPC を選択します。
Enable DNS name が有効になっていることを確認します。
Subnets で、VPC インターフェイスエンドポイントを配置する 1 つ以上のサブネットを選択します。
Security Groups で、この VPC エンドポイントにトラフィックを送信できるかどうかを制御するセキュリティグループを選択します。
注: セキュリティグループでは TCP の 443 番ポートへのインバウンドトラフィックを許可する必要があります。
任意で Name tag を設定し、Create endpoint をクリックします。
ステータスが Pending から Available に変わるまで数分かかる場合があります。最大 10 分ほどかかる場合があります。想定より長引く場合は Datadog サポートにお問い合わせください。
エンドポイントのステータスが Available に更新されたら、クロスリージョンの AWS PrivateLink エンドポイントを使用して Datadog にテレメトリを送信できます。
PrivateLink サービス名
| Datadog | PrivateLink サービス名 | プライベート DNS 名 |
|---|
| ログ (Agent HTTP インテーク) | | agent-http-intake.logs. |
| ログ (ユーザー HTTP インテーク) | | http-intake.logs. |
| API | | api. |
| メトリクス | | metrics.agent. |
| コンテナ | | orchestrator. |
| プロセス | | process. |
| プロファイリング | | intake.profile. |
| トレース | | trace.agent. |
| Database Monitoring | | dbm-metrics-intake. |
| Remote Configuration | | config. |
- AWS コンソールを に接続し、VPC エンドポイントを作成します。
- Find service by name を選択します。
- 接続したいサービスに応じて、Service Name テキストボックスに次の値を入力します:
| Datadog | PrivateLink サービス名 |
|---|
| ログ (Agent HTTP インテーク) | |
| ログ (ユーザー HTTP インテーク) | |
| API | |
| メトリクス | |
| コンテナ | |
| プロセス | |
| プロファイリング | |
| トレース | |
| Database Monitoring | |
| Remote Configuration | |
Verify をクリックします。Service name found が表示されない場合は、Datadog サポートにお問い合わせください。
次に、Datadog VPC サービスエンドポイントとピアリングする VPC とサブネットを選択します。VPC Peering では DNS を手動で設定する必要があるため、Enable DNS name は選択しないでください。
任意のセキュリティグループを選択して、どのトラフィックがこの VPC エンドポイントに送信されるかを制御します。
注: セキュリティグループでは TCP の 443 番ポートへのインバウンドトラフィックを許可する必要があります。
画面下部の Create endpoint をクリックします。成功すると次のように表示されます:
- VPC エンドポイント ID をクリックし、そのステータスを確認します。
- ステータスが Pending から Available に変わるまで待ちます。最大 10 分ほどかかる場合があります。
- エンドポイントを作成した後は、VPC Peering を使用して別のリージョンでもこの PrivateLink エンドポイントを利用できるようにし、PrivateLink 経由で Datadog にテレメトリを送信します。詳細は AWS ドキュメントの Work With VPC Peering connections を参照してください。
Amazon Route53
- 使用するサービスごとにRoute53 プライベートホストゾーンを作成し、プライベートホストゾーンを
以下の一覧を参考に、サービスと DNS 名をマッピングします:
| Datadog | PrivateLink サービス名 | プライベート DNS 名 |
|---|
| ログ (Agent HTTP インテーク) | | agent-http-intake.logs. |
| ログ (ユーザー HTTP インテーク) | | http-intake.logs. |
| API | | api. |
| メトリクス | | metrics.agent. |
| コンテナ | | orchestrator. |
| プロセス | | process. |
| プロファイリング | | intake.profile. |
| トレース | | trace.agent. |
| Database Monitoring | | dbm-metrics-intake. |
| Remote Configuration | | config. |
この情報は AWS API の DescribeVpcEndpointServices を呼び出すか、下記のようにコマンドを実行することでも確認可能です:
aws ec2 describe-vpc-endpoint-services --service-names <service-name>`
例として、
aws ec2 describe-vpc-endpoint-services --service-names | jq '.ServiceDetails[0].PrivateDnsName'
これは、Agent トラフィックの発信元となる VPC と関連付けるために必要な、プライベートホストゾーン名である metrics.agent. を返します。このレコードを上書きすると、メトリクスに関連するインテークホスト名がすべて取得されます。
それぞれの新しい Route53 プライベートホストゾーン内に、同じ名前で A レコードを作成します。Alias オプションをトグルし、Route traffic to で、Alias to VPC endpoint、 を選び、DNS 名と関連付けられた VPC エンドポイントの DNS 名を入力します。
注:
- DNS 名を取得するには、エンドポイントサービスのプライベート DNS 名構成ドキュメントを表示するを参照してください。
- Agent は、バージョン管理されたエンドポイントにテレメトリーを送信します。例えば、
[version]-app.agent. は、CNAME エイリアスを介して metrics.agent. に解決されます。したがって、必要なのは metrics.agent. 用のプライベートホストゾーンを設定することだけです。
Datadog PrivateLink のエンドポイントを含む
VPC が異なる AWS アカウントにある場合、続行する前に Datadog Agent を含む VPC が Route53 プライベートホストゾーンとの関連付けを許可されている必要があります。Datadog Agent が実行する VPC のリージョンと VPC ID を使用して、各 Route53 プライベートホストゾーンに対して VPC 関連付け承認を作成します。このオプションは、AWS Console では利用できません。AWS CLI、SDK、または API を使用して構成する必要があります。
Route53 ホストゾーンを編集して、他のリージョンの VPC を追加します。
プライベートホストゾーン (PHZ) が接続されている VPC では、特定の設定、特に enableDnsHostnames と enableDnsSupport をオンにする必要があります。プライベートホストゾーンを使用する際の注意点を参照してください。
Agent を再起動し、AWS PrivateLink 経由で Datadog にデータを送信します。
DNS の解決と接続のトラブルシューティング
DNS 名は、port 443 への接続に成功するはずです。
DNS がパブリック IP アドレスに解決している場合、Route53 ゾーンが代替地域の VPC に関連付けされていないか、A レコードが存在しないことが原因です。
DNS は正しく解決しているのに、port 443 への接続に失敗する場合、VPC のピアリングまたはルーティングが誤って構成されているか、ポート 443 が
プライベートホストゾーン (PHZ) が接続されている VPC は、いくつかの設定をオンにする必要があります。具体的には、PHZ が関連付けられている VPC で、enableDnsHostnames と enableDnsSupport がオンになっている必要があります。Amazon VPC 設定を参照してください。
Datadog Agent
ログデータを収集する場合は、Agent が HTTPS 経由でログを送信するように構成されていることを確認してください。データがまだない場合は、Agent datadog.yaml コンフィギュレーションファイルに以下を追加します。
logs_config:
force_use_http: true
コンテナ Agent をお使いの場合は、代わりに環境変数を設定してください。
DD_LOGS_CONFIG_FORCE_USE_HTTP=true
この構成は、AWS PrivateLink と Datadog Agent で Datadog にログを送信する際に必要で、Lambda Extension では必要ありません。詳しくは、Agent のログ収集をご参照ください。
Lambda 拡張機能で、環境変数 DD_API_KEY_SECRET_ARN で指定した ARN を使って AWS Secrets Manager から Datadog API キーを読み込む場合、Secrets Manager 用の VPC エンドポイントを作成する必要があります。
Agent を再起動します。
